电子商务系统安全规划.ppt

第６章 电子商务系统安全规划 ６.1 电子商务系统安全 ６.2 电子商务系统安全体系框架 ６.3 电子商务系统安全设计的原则 ６.4 电子商务系统安全体系的设计 ６.1 电子商务系统安全 电子商务系统安全问题涉及到许多方面。 首先，安全不是一个单一的问题。 其次，安全问题是动态的。 再次，安全问题不能仅仅由技术来完全解决。 ６.2 电子商务系统安全体系框架 电子商务还没有统一建立的标准的系统安全体系框架。可参照信息系统的安全体系框架。 信息系统安全的总需求是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全与公共信息安全的总和。 信息系统安全的最终目的是确保信息的保密性、完整性、可用性、可审计性和不可否认性，以及信息系统主体对信息资源的控制。 ６.2 电子商务系统安全体系框架 ６.3 电子商务系统安全设计的原则 ⑴均衡性 ⑵整体性 ⑶一致性 ⑷易操作性 ⑸可靠性 ⑹层次性 ⑺可评价性 ６.4 电子商务系统安全体系的设计 制定安全规划的工作步骤包括： 对企业电子商务系统安全风险进行评估 分析企业电子商务系统的安全需求 定义企业电子商务系统安全规划的范围 建立项目小组以设计和实施安全规划 制定企业电子商务系统的安全策略 制定企业电子商务系统的安全方案 评估安全方案的代价和优缺点 测试和实施安全方案 6.4.1 识别企业信息资产 要保护企业的电子商务系统安全，首先要知道企业中有哪些可识别的资产，哪些是最关键的、需要重点防护的，哪些是次要一些的但是也需要保护的，哪些是不需要专门关注的。 企业信息资产包括：数据与文档、硬件，软件，人员四个方面。 ６.4.1 识别企业信息资产 ６.4.2 电子商务系统风险识别、分析和评估 1. 电子商务系统面临的威胁 电子商务的核心是通过信息网络技术来传递商业信息和进行网络交易，所以从整体上来看，电子商务安全主要可划分为计算机信息系统安全和商务交易安全等。 1．电子商务面临的威胁 （1）计算机信息系统面临的威胁 ① 人为的无意失误② 人为的恶意攻击 ③ 软件的漏洞和“后门” （2）电子商务交易安全威胁类别。 ① 信息的截获和窃取。 ② 信息的篡改。 ③ 假冒。 ④ 交易抵赖。 2.电子商务系统风险分析和评估 ⑴敏感性／结果 决定电子商务系统敏感性等级的因素有两个： 第一个是事故的直接后果。 第二个应考虑的因素是政治上和企业的敏感性。 ⑵风险评估矩阵 ⑵风险评估矩阵 （3）基本的风险评估 （4）详细的风险评估 ６.4.3 电子商务系统的安全需求分析 通过分析以下因素，可以定义电子商务系统的安全需求： 需要保护的资源。 资源面临的威胁。 威胁发生的机率。 ６.4.4 定义电子商务系统的安全规划的范围 安全规划首先需要定义规划的范围，以指明规划能够处理哪些风险。规划范围准确地限定了安全规划将处理电子商务系统中的哪个区域。 设计安全方案之前，企业必须定义规划的范围，以指明将来的安全方案准备处理哪些风险。 ６.4.5 电子商务系统安全策略的制定 安全策略是对一种处理安全问题的规则的描述。 管理人员在安全策略方面的抉择与资源分配、竞争的目标以及组织策略有关，涉及技术、信息资源和员工行为指导。 制定安全策略的目的就是决定一个电子商务系统怎样来保护自己。根据安全需求制定的系统的安全策略是安全方案的主要内容。 ６.4.5 电子商务系统安全策略的制定 1. 权衡要点 制定安全策略是进行利与弊的权衡，一般来说，权衡的要点如下： ●功能和安全性能。 ●用户操作的便利性和安全性能。 ●成本与功能。 2. 安全策略的范围 2. 安全策略的范围 3．制定安全策略的步骤 ６.4.6 制订电子商务系统的安全方案 1. 安全方案的主要内容 ⑴技术体系的建立⑵组织机构的建立 ⑶管理体系的建立 ⑷安全方案实施计划 2. 制定安全方案 (1) 定义范围。(2) 确定安全方案制定小组。 (3) 搜集安全需求。(4) 定义安全基准。 (5) 定义安全基准。 6.4.7 评估安全方案 安全方案制定出来之后还需要评估才能确定是否可以采纳。评估一个安全方案可从以下几个方面进行： 计划、设计、测试和开发该安全方案所需的资源。 开发后管理和维护该方案所需的资源。 培训用户使用新系统和掌握新技术所需的资源。 支持用户使用新技术所需的资源。 安全方案实施后，损失的用户带来的影响。 增加密码操作负载后，计算机和网络增加的负载和降低的性能。 6.4.8 实施安全方案 当安全方案获得采纳之后，将开始实施安全方案。可以建立一个实施小组，或者通过系统的实施小组来实施，任务的分配与实施的时间进度，应参照已制定的安全方案实施计划。实施成功的关键是找到可用资源、时间进